Tin tặc Mustang Panda triển khai phần mềm đánh cắp thông tin thông qua backdoor CoolClient

Nhóm tin tặc Trung Quốc Mustang Panda đã cập nhật phần mềm độc hại CoolClient của chúng lên một biến thể mới, có khả năng đánh cắp dữ liệu đăng nhập từ trình duyệt và theo dõi clipboard.

Theo các nhà nghiên cứu của Kaspersky, phần mềm độc hại này cũng đã được sử dụng để triển khai một rootkit chưa từng thấy trước đây. Tuy nhiên, phân tích kỹ thuật chi tiết sẽ được hãng bảo mật cung cấp trong các báo cáo tiếp theo.

CoolClient liên kết với Mustang Panda từ năm 2022, triển khai như một backdoor thứ cấp cùng với PlugX và LuminousMoth. Các nhà nghiên cứu cho biết, phiên bản mới của mã độc được phát hiện trong các cuộc tấn công nhắm vào các cơ quan chính phủ ở Myanmar, Mông Cổ, Malaysia, Nga và Pakistan. Đáng chú ý, chúng phân phối thông qua phần mềm hợp pháp từ Sangfor - một công ty Trung Quốc chuyên về dịch vụ an ninh mạng, điện toán đám mây và các sản phẩm cơ sở hạ tầng công nghệ thông tin.

Trước đây, những kẻ điều hành CoolClient đã phát tán phần mềm độc hại thông qua phương thức DLL sideloading bất hợp pháp, bằng cách lợi dụng các tệp nhị phân đã ký số từ Bitdefender, VLC Media Player và Ulead PhotoImpact.

Các nhà nghiên cứu của Kaspersky giải thích rằng, CoolClient thu thập thông tin chi tiết về hệ thống bị xâm nhập và người dùng của nó, chẳng hạn như tên máy tính, phiên bản hệ điều hành, RAM, thông tin mạng, cũng như mô tả và phiên bản của các mô-đun driver loader.

CoolClient sử dụng các tệp .DAT được mã hóa trong quá trình thực thi nhiều giai đoạn và đạt khả năng duy trì hoạt động thông qua việc sửa đổi Registry, thêm các dịch vụ Windows mới và các tác vụ theo lịch trình. Bên cạnh đó, mã độc này cũng hỗ trợ khả năng vượt qua UAC và leo thang đặc quyền.

Luồng thực thi của CoolClient

Các tính năng cốt lõi của phần mềm độc hại tích hợp trong một DLL được nhúng trong tệp có tên main.dat. “Khi khởi chạy, nó trước tiên kiểm tra xem keylogger, trình đánh cắp clipboard và dò tìm thông tin đăng nhập proxy HTTP có được bật hay không”, các nhà nghiên cứu cho biết .

Một số chức năng chính của mã độc bao gồm lập hồ sơ hệ thống và người dùng, thao tác tệp, keylogger, tạo đường hầm TCP, reverse proxy và thực thi trong bộ nhớ các plugin được tải động, đều có sẵn trong cả phiên bản cũ và mới.

Điểm hoàn toàn mới trong CoolClient phiên bản mới nhất là mô-đun giám sát clipboard, khả năng theo dõi tiêu đề cửa sổ đang hoạt động và khả năng dò tìm thông tin xác thực proxy HTTP dựa trên việc kiểm tra gói dữ liệu thô và trích xuất tiêu đề. Ngoài ra, hệ sinh thái plugin đã được mở rộng với một plugin shell từ xa chuyên dụng, một plugin quản lý dịch vụ và một plugin quản lý tệp tin mạnh mẽ hơn.

Theo các nhà nghiên cứu, plugin quản lý dịch vụ cho phép kẻ tấn công có thể liệt kê, tạo, khởi động, dừng, xóa và sửa đổi cấu hình khởi động của các dịch vụ Windows, trong khi plugin quản lý tệp tin cung cấp các thao tác tệp tin mở rộng, bao gồm liệt kê ổ đĩa, tìm kiếm tệp, nén ZIP, ánh xạ ổ đĩa mạng và thực thi.

Chức năng shell từ xa được triển khai thông qua một plugin riêng biệt, plugin này tạo ra một tiến trình cmd.exe ẩn và chuyển hướng đầu vào cũng như đầu ra thông qua pipe, cho phép thực thi lệnh tương tác qua máy chủ điều khiển và ra lệnh (C2).

Ngoài ra, một điểm mới trong hoạt động của CoolClient là việc triển khai các phần mềm đánh cắp thông tin để thu thập dữ liệu đăng nhập từ trình duyệt. Kaspersky đã ghi nhận ba nhóm phần mềm khác nhau nhắm mục tiêu vào Chrome (biến thể A), Edge (biến thể B) và biến thể C linh hoạt hơn, với mục tiêu vào bất kỳ trình duyệt nào dựa trên Chromium.

Chức năng sao chép dữ liệu đăng nhập trình duyệt vào một tệp tạm thời cục bộ

Một thay đổi đáng chú ý khác trong hoạt động là việc đánh cắp dữ liệu trình duyệt và rò rỉ tài liệu hiện nay tận dụng các API token được mã hóa cứng của các dịch vụ hợp pháp, như Google Drive hoặc Pixeldrain để tránh bị phát hiện.

Mustang Panda tiếp tục phát triển bộ công cụ và các đặc điểm hoạt động của mình. Tháng 12/2025, Kaspersky đã báo cáo về một kernel-mode loader triển khai một biến thể của phần mềm độc hại ToneShell trên các hệ thống công nghệ thông tin.

Gần đây, Cục An ninh Quốc gia Đài Loan đã xếp Mustang Panda vào nhóm các mối đe dọa phổ biến và có số lượng lớn nhất nhắm vào cơ sở hạ tầng trọng yếu của họ.

Trước sự gia tăng của các chiến dịch APT tinh vi như Mustang Panda, các cơ quan, tổ chức cần chủ động rà soát hạ tầng công nghệ thông tin, tăng cường giám sát an ninh và phối hợp với các đơn vị chuyên trách nhằm kịp thời phát hiện, ngăn chặn nguy cơ tấn công mạng.